CN112953917B

CN112953917B - 一种网络攻击源识别方法、装置、计算机设备及存储介质

Info

Publication number: CN112953917B
Application number: CN202110127868.8A
Authority: CN
Inventors: 魏坤; 谢诗阳; 王尹哲; 秦建华; 黄荣; 张升; 曾祥坤; 王雪莹; 张乾尊
Original assignee: Agricultural Bank of China
Current assignee: Agricultural Bank of China
Priority date: 2021-01-29
Filing date: 2021-01-29
Publication date: 2023-02-24
Anticipated expiration: 2041-01-29
Also published as: CN112953917A

Abstract

本申请实施例提供一种网络攻击源识别方法、装置、计算机设备及存储介质，接收部署在数据中心的网络安全设备集群中各个网络安全设备发送的网络攻击识别日志，网络安全设备集群由多类网络安全设备构成；分别提取每个网络攻击识别日志中的网络攻击识别信息；确定指示目标攻击源IP的至少一条网络攻击识别信息；进而利用至少一条网络攻击识别信息对目标攻击源IP进行识别得到目标攻击源IP的目标识别结果；目标识别结果表征目标攻击源IP的危险程度。本申请可以依赖于多类网络设备实现对数据中心网络攻击源的识别，以提高对数据中心网络攻击源识别结果的准确性。

Description

一种网络攻击源识别方法、装置、计算机设备及存储介质

技术领域

本发明涉及网络安全技术领域，更具体地说，涉及一种网络攻击源识别方法、装置、计算机设备及存储介质。

背景技术

网络攻击指的是利用网络存在的漏洞和安全缺陷对网络系统的硬件、软件及其系统中的数据进行的攻击。目前，网络攻击的方法主要有：口令入侵、特洛伊木马、电子邮件、节点攻击、网络监听、网络欺骗、黑客软件、安全漏洞、端口扫描等等很多种类。

网络攻击行为的攻击源可以称为网络攻击源，目前市面上存在多类网络安全设备能够实现对网络攻击源的识别，不同的网络安全设备采用的网络攻击源识别方式不同，针对不同类型的攻击行为，各种网络安全设备的攻击源识别准确性也各不相同。

现有技术通常是由人工从多类网络安全设备中选取一类网络安全设备实现对数据中心的网络攻击源的识别，这种单类的网络安全设备对网络攻击源识别的准确性不是很高。

发明内容

有鉴于此，为解决上述问题，本发明提供一种网络攻击源识别方法、装作、计算机设备及存储介质，依赖于多类网络设备实现对数据中心网络攻击源的识别，以提高对数据中心网络攻击源识别结果的准确性，技术方案如下：

一种网络攻击源识别方法，包括：

接收部署在数据中心的网络安全设备集群中各个网络安全设备发送的网络攻击识别日志，所述网络安全设备集群由多类网络安全设备构成；

分别提取每个所述网络攻击识别日志中的网络攻击识别信息，所述网络攻击识别信息由攻击源IP、目标IP、危险度、攻击行为、设备类型，以及设备所在网络位置中的任意一项或多项构成；

确定指示目标攻击源IP的至少一条网络攻击识别信息；

利用所述至少一条网络攻击识别信息对所述目标攻击源IP进行识别得到所述目标攻击源IP的目标识别结果；所述目标识别结果表征所述目标攻击源IP的危险程度。

优选的，所述利用所述至少一条网络攻击识别信息对所述目标攻击源IP进行识别得到所述目标攻击源IP的目标识别结果，包括：

针对每类网络安全设备，确定预先设置的该类网络安全设备的识别规则，从所述至少一条网络攻击识别信息中获取满足该识别规则的至少一条目标网络攻击识别信息，根据所述至少一条目标网络攻击识别信息确定该类网络安全设备对所述目标攻击源IP的识别结果；

基于各类网络安全设备分别对所述目标攻击源IP的识别结果，生成所述目标攻击源IP的目标识别结果。

优选的，所述从所述至少一条网络攻击识别信息中获取满足该识别规则的至少一条目标网络攻击识别信息，包括：

获取该识别规则指示的攻击行为追溯时间和识别条件；

从至少一条网络攻击识别信息中确定来源于该类网络安全设备的各条第一网络攻击识别信息；

针对每条所述第一网络攻击识别信息，获取该条第一网络攻击识别信息所属的网络安全设备对该条第一网络攻击识别信息的发出时间；

从所确定的各条第一网络攻击识别信息中，确定发出时间至今的时间间隔不超过所述攻击行为追溯时间的至少一条第二网络攻击识别信息；

从所述至少一条第二网络攻击识别信息中获取满足所述识别条件的至少一条目标网络攻击识别信息。

优选的，所述根据所述至少一条目标网络攻击识别信息确定该类网络安全设备对所述目标攻击源IP的识别结果，包括：

确定所述至少一条目标网络攻击识别信息中目标网络攻击识别信息的信息条数；

基于所述信息条数和表征该类网络安全设备的识别规则的重要程度的目标数据，生成与该识别规则对应的该类网络安全设备对所述目标攻击源IP的识别结果。

优选的，预先设置的该类网络安全设备的识别规则的数量为多个，该方法还包括：

根据分别与该类网络安全设备的每个识别规则对应的该类网络安全设备对所述目标攻击源IP的识别结果，生成该类网络安全设备对所述目标攻击源IP的识别结果。

优选的，还包括：

判断所述目标攻击源IP的目标识别结果是否超过预设阈值；

如果所述目标攻击源IP的目标识别结果超过预设阈值，确定所述目标攻击源IP为危险IP；

如果所述目标攻击源IP的目标识别结果未超过预设阈值，确定所述目标攻击源IP不为危险IP。

优选的，还包括：

响应所述危险IP的确定，发出指示所述危险IP的报警信息。

一种网络攻击源识别装置，包括：

日志接收单元，用于接收部署在数据中心的网络安全设备集群中各个网络安全设备发送的网络攻击识别日志，所述网络安全设备集群由多类网络安全设备构成；

网络攻击识别信息提取单元，用于分别提取每个所述网络攻击识别日志中的网络攻击识别信息，所述网络攻击识别信息由攻击源IP、目标IP、危险度、攻击行为、设备类型，以及设备所在网络位置中的任意一项或多项构成；

网络攻击识别信息确定单元，用于确定指示目标攻击源IP的至少一条网络攻击识别信息；

目标识别结果生成单元，用于利用所述至少一条网络攻击识别信息对所述目标攻击源IP进行识别得到所述目标攻击源IP的目标识别结果；所述目标识别结果表征所述目标攻击源IP的危险程度。

一种计算机设备，包括：处理器以及存储器，所述处理器以及存储器通过通信总线相连；其中，所述处理器，用于调用并执行所述存储器中存储的程序；所述存储器，用于存储程序，所述程序用于实现所述网络攻击源识别方法。

一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器加载并执行，实现所述网络攻击源识别方法的各步骤。

本申请实施例提供一种网络攻击源识别方法、装置、计算机设备及存储介质，接收部署在数据中心的网络安全设备集群中各个网络安全设备发送的网络攻击识别日志，网络安全设备集群由多类网络安全设备构成；分别提取每个网络攻击识别日志中的网络攻击识别信息；确定指示目标攻击源IP的至少一条网络攻击识别信息；进而利用至少一条网络攻击识别信息对目标攻击源IP进行识别得到目标攻击源IP的目标识别结果；目标识别结果表征目标攻击源IP的危险程度。本申请实施例可以依赖于多类网络设备实现对数据中心网络攻击源的识别，以提高对数据中心网络攻击源识别结果的准确性。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为本申请实施例提供的一种网络攻击源识别方法流程图；

图2为本申请实施例提供的一种利用至少一条网络攻击识别信息对该目标攻击源IP进行识别得到目标攻击源IP的目标识别结果的方法流程图；

图3为本申请实施例提供的一种从至少一条网络攻击识别信息中获取满足该识别规则的至少一条目标网络攻击识别信息的方法流程图；

图4为本申请实施例提供的另一种网络攻击源识别方法流程图；

图5为本申请实施例提供的一种网络攻击源识别方法示意图；

图6为本申请实施例提供的一种网络攻击源识别装置的结构示意图；

图7为本申请实施例提供的一种网络攻击源识别方法所适用于的计算机设备的硬件结构框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

目前已经有多种网络攻击源的识别方案，这些方案从各个角度进行危险行为识别。为了解决单类的网络安全设备对网络攻击源识别的准确性不是很高的问题，数据中心可以部署多种网络安全设备，各类网络安全设备中也是采用这些网络攻击源识别方案综合进行评估。针对不同类型的攻击行为，各种安全设备的准确性、识别率效果也各不相同。本申请最终的目标是能够全面的利用各类安全设备识别的攻击源信息，有效的利用危险源识别准确率较高的安全设备的安全信息，同时兼顾危险源识别准确率较低设备的安全信息，进行可疑攻击源危险度的评估。

示例性的，网络安全设备例如IDS，WAF，IPS，WEBIDS等。以上仅仅是本申请实施例提供的网络安全设备的优选内容，有关具体采用的网络安全设备本领域技术人员可根据自己的需求进行设置，在此不做限定。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1为本申请实施例提供的一种网络攻击源识别方法流程图。

如图1所示，该方法包括：

S101、接收部署在数据中心的网络安全设备集群中各个网络安全设备发送的网络攻击识别日志，网络安全设备集群由多类网络安全设备构成；

本申请实施例，在数据中心部署有网络安全设备集群，网络安全设备集群由多类网络安全设备构成，以一类网络安全设备为例，网络安全设备集群中可以包括一个或多个该类网络安全设备。

示例性的，网络安全设备集群中的网络安全设备会对数据中心进行网络攻击源识别，将自己的评估结果以日志的形式发送出来。网络安全设备对数据中心进行网络攻击源识别得到的结果可以认为是网络安全设备对数据中心的评估结果，网络安全设备以日志形式发送的评估结果可以称为网络攻击识别日志。

本申请实施例提供的一种网络攻击源识别方法应用于网络攻击源识别平台，网络安全设备集群中各个网络安全设备均将其对数据中心的评估结果以日志的形式输出至网络攻击源识别平台，进而由网络攻击源识别平台根据各个网络安全设备发送的网络攻击识别日志，对数据中心进行网络攻击源识别。

S102、分别提取每个网络攻击识别日志中的网络攻击识别信息，网络攻击识别信息由攻击源IP、目标IP、危险度、攻击行为、设备类型，以及设备所在网络位置中的任意一项或多项构成；

示例性的，不同的网络安全设备发送的网络攻击识别日志的日志格式可能不同，网络攻击源识别平台可以对各个网络安全设备发送的网络攻击识别日志进行解析，以从各个网络攻击识别日志中提取网络攻击识别信息。即，网络攻击源识别平台针对其接收到的每个网络安全设备发送的网络攻击识别日志均可以执行如下过程：对该网络安全设备的网络攻击识别日志进行解析，从该网络攻击识别日志中提取该网络安全设备识别出的该数据中心的各条网络攻击识别信息。

本申请实施例，网络攻击源识别平台可以汇总网络安全设备集群中所有网络安全设备发送的网络攻击识别日志，并提取每个网络攻击识别日志中的各条网络攻击识别信息，将提取到的所有网络攻击识别信息汇总到一起，可以将汇总到一起的网络攻击识别信息称为网络攻击识别信息集合。

示例性的，网络攻击识别信息由攻击源IP、目标IP、危险度、攻击行为、设备类型，以及设备所在网络位置中的任意一项或多项构成。其中，网络攻击识别信息的设备类型可以认为是发出该网络攻击识别信息的网络安全设备的设备类型；设备所在网络位置可以认为是发出该网络攻击识别信息的网络安全设备在网络中的位置。

S103、确定指示目标攻击源IP的至少一条网络攻击识别信息；

示例性的，每个网络攻击识别信息均指示有攻击源IP，不同的网络攻击识别信息指示的攻击源IP可能相同，也可能不同。

本申请实施例，可以确定网络攻击识别信息集合指示的各个攻击源IP，网络攻击识别信息集合中每个攻击源IP均可以认为是一个目标攻击源IP。针对每个目标攻击源IP而言，可以针对该目标攻击源IP执行步骤S103-S104以得到该目标攻击源IP的目标识别结果，目标攻击源IP的目标识别结果表征目标攻击源IP的危险程度。

S104、利用至少一条网络攻击识别信息对目标攻击源IP进行识别得到目标攻击源IP的目标识别结果；目标识别结果表征目标攻击源IP的危险程度。

下面，以一个目标攻击源IP为例，对本申请实施例提供的步骤S103-S104的执行过程进行详细说明。

示例性的，每条网络攻击识别信息中至少携带攻击源IP。针对一个目标攻击源IP来说，根据步骤S103-S104以生成该目标攻击源IP的目标识别结果的过程可以为：从网络攻击识别信息集合中确定携带的攻击源IP为该目标攻击源IP的各条网络攻击识别信息，为了便于区分，确定出的所有网络攻击识别信息可以称为至少一条网络攻击识别信息；利用至少一条网络攻击识别信息对该目标攻击源IP进行识别得到目标攻击源IP的目标识别结果。

示例性的，利用至少一条网络攻击识别信息对该目标攻击源IP进行识别得到目标攻击源IP的目标识别结果的方式如图2所示。参见图2，该方法包括：

S201、针对每类网络安全设备，确定预先设置的该类网络安全设备的识别规则，从至少一条网络攻击识别信息中获取满足该识别规则的至少一条目标网络攻击识别信息，根据至少一条目标网络攻击识别信息确定该类网络安全设备对目标攻击源IP的识别结果；

本申请实施例，网络安全设备集群中设置有多类网络安全设备，针对每类网络安全设备，预先设置有该类网络安全设备的一个或多个识别规则。

针对网络安全设备集群中每类网络安全设备均执行如下过程：确定预先设置的该类网络安全设备的各个识别规则，进而针对所确定的每个识别规则分别执行“从至少一条网络攻击识别信息中获取满足该识别规则的至少一条目标网络攻击识别信息，根据至少一条目标网络攻击识别信息确定与该识别规则对应的该类网络安全设备对目标攻击源IP的识别结果”过程；这样，针对预先设置的该类网络安全设备的每个识别规则而言，均可以得到一个与该识别规则对应的该类网络安全设备对目标攻击源IP的识别结果，所得到的各个识别结果的累加和可以作为该类网络安全设备对目标攻击源IP的识别结果。

进一步的，以该类网络安全设备的一个识别规则为例，对从至少一条网络攻击识别信息中获取满足该识别规则的至少一条目标网络攻击识别信息的方式参见图3，如图3所示，该方法包括：

S301、获取该识别规则指示的攻击行为追溯时间和识别条件；

本申请实施例，识别规则指示有攻击行为追溯时间和识别条件，识别条件与目标IP、危险度、攻击行为、设备类型、设备所在网络位置等有关。

以上仅仅是本申请实施例提供的识别条件的优选内容，有关识别条件的具体内容，本领域技术人员可根据自己的需求进行设置，在此不做限定。

S302、从至少一条网络攻击识别信息中确定来源于该类网络安全设备的各条第一网络攻击识别信息；

本申请实施例，网络攻击识别信息不仅携带攻击源IP，还携带有设备类型。相应的，可以从至少一条网络攻击识别信息中确定携带的设备类型为该类网络安全设备所属设备类型的各条网络攻击识别信息，为了便于区分，可以将所确定的每条网络攻击识别信息称为一条第一网络攻击识别信息。

S303、针对每条第一网络攻击识别信息，获取该条第一网络攻击识别信息所属的网络安全设备对该条第一网络攻击识别信息的发出时间；

本申请实施例，针对所确定的每条第一网络攻击识别信息，可以确定该条第一网络攻击识别信息所属的网络安全设备，并获取所确定的网络安全设备产生与该第一网络攻击识别信息对应的识别信息的时间(该时间可以认为是所确定的网络安全设备对该条第一网络攻击识别信息的发出时间)。

需要说明的是，该识别信息可以认为是网络安全设备产生的信息，而该识别信息对应的第一网络攻击识别信息可以认为是网络攻击源识别平台从该识别信息中提取出的网络攻击识别信息。

S304、从所确定的各条第一网络攻击识别信息中，确定发出时间至今的时间间隔不超过攻击行为追溯时间的至少一条第二网络攻击识别信息；

本申请实施例，针对每条第一网络攻击识别信息，如果该条第一网络攻击识别信息所属的网络安全设备对该条第一网络攻击识别信息的发出时间至今的时间间隔不超过该识别规则的攻击行为追溯时间，则可以将该条第一网络攻击识别信息作为一条第二网络攻击识别信息；反之，该条第一网络攻击识别信息不可以作为第二网络攻击识别信息。基于此，从所确定的各条第一网络攻击识别信息中确定的各条第二网络攻击识别信息可以称为至少一条第二网络攻击识别信息。

S305、从至少一条第二网络攻击识别信息中获取满足识别条件的至少一条目标网络攻击识别信息。

本申请实施例，针对至少一条第二网络攻击识别信息中的每条第二网络攻击识别信息，可以确定该条第二网络攻击识别信息是否满足该识别规则携带的识别条件，如果该条第二网络攻击识别信息满足该识别规则携带的识别条件，则可以将该条第二网络攻击识别信息确定为一条目标网络攻击识别信息；如果该条第二网络攻击识别信息不满足该识别规则携带的识别条件，则不可以将该条第二网络攻击识别信息确定为一条目标网络攻击识别信息。这样，可以将从至少一条第二网络攻击识别信息中确定的所有目标网络攻击识别信息称为至少一条目标网络攻击识别信息。

相应的，针对一类网络安全设备的一个识别规则而言，在从至少一条网络攻击识别信息中获取来源于该类网络安全设备且满足该识别规则的至少一条目标网络攻击识别信息后，可以确定至少一条目标网络攻击识别信息中目标网络攻击识别信息的信息条数；并基于该信息条数和表征该类网络安全设备的该识别规则的重要程度的目标数据，生成与该识别规则对应的该类网络安全设备对目标攻击源IP的识别结果。

比如，至少一条目标网络攻击识别信息中有5条目标网络攻击识别信息，则信息条数为5；如果预先设置的表征该类网络安全设备的该识别规则的重要程度的目标数据为3，可以将信息条数和目标数据的乘积结果作为与该识别规则对应的该类网络安全设备对目标攻击源IP的识别结果，即，该识别结果为15。

S202、基于各类网络安全设备分别对目标攻击源IP的识别结果，生成目标攻击源IP的目标识别结果。

本申请实施例，针对网络安全设备集群中每类网络安全设备均可以确定该类网络安全设备对目标攻击源IP的识别结果，将各类网络安全设备对目标攻击源IP的识别结果的累加和作为该目标攻击源IP的目标识别结果。

如图4所示，该方法包括：

S401、接收部署在数据中心的网络安全设备集群中各个网络安全设备发送的网络攻击识别日志，网络安全设备集群由多类网络安全设备构成；

S402、分别提取每个网络攻击识别日志中的网络攻击识别信息，网络攻击识别信息由攻击源IP、目标IP、危险度、攻击行为、设备类型，以及设备所在网络位置中的任意一项或多项构成；

S403、确定指示目标攻击源IP的至少一条网络攻击识别信息；

S404、利用至少一条网络攻击识别信息对目标攻击源IP进行识别得到目标攻击源IP的目标识别结果；目标识别结果表征目标攻击源IP的危险程度；

本申请实施例提供的步骤S401-S404的执行过程与上述实施例提供的步骤S101-S104的执行过程相同，有关步骤S401-S404的执行方式请参见上述实施例对步骤S101-S104的描述，在此不做赘述。

S405、判断目标攻击源IP的目标识别结果是否超过预设阈值；如果目标攻击源IP的目标识别结果超过预设阈值，执行步骤S406；如果目标攻击源IP的目标识别结果未超过预设阈值，执行步骤S407；

本申请实施例，在确定目标攻击源IP的目标识别结果后，还可以判断目标攻击源IP的目标识别结果是否超过预设阈值；如果目标攻击源IP的目标识别结果超过预设阈值，则确定目标攻击源IP为危险IP；如果目标攻击源IP的目标识别结果未超过预设阈值，则确定目标攻击源IP不为危险IP。

S406、确定目标攻击源IP为危险IP；

S407、确定目标攻击源IP不为危险IP；

S408、响应危险IP的确定，发出指示危险IP的报警信息。

进一步的，本申请实施例提供的一种网络攻击源识别方法，在确定目标攻击源IP为危险IP的情况下，还可以进一步响应该危险IP的确定，发出指示该危险IP的报警信息，以便于管理人员对危险IP的获知。

本申请实施例提供一种网络攻击源识别方法，接收部署在数据中心的网络安全设备集群中各个网络安全设备发送的网络攻击识别日志，网络安全设备集群由多类网络安全设备构成；分别提取每个网络攻击识别日志中的网络攻击识别信息；确定指示目标攻击源IP的至少一条网络攻击识别信息；进而利用至少一条网络攻击识别信息对目标攻击源IP进行识别得到目标攻击源IP的目标识别结果；目标识别结果表征目标攻击源IP的危险程度。本申请实施例可以依赖于多类网络设备实现对数据中心网络攻击源的识别，以提高对数据中心网络攻击源识别结果的准确性。

下面结合图5所示的网络攻击源识别方法示意图对本申请实施例提供的一种网络攻击源识别方法进行进一步详细说明。

结合图5可知，每类安全设备会将自己的评估结果以日志的形式发送出来，本申请可以将这些日志汇总到统一日志平台(即日志汇总平台，该日志汇总平台可以认为属于本申请实施例的网络攻击源识别平台)。随后，对这些日志进行解析，提取出攻击源IP，目标IP，危险度，攻击行为，设备类型，设备所在网络位置等关键信息。随后依据可疑攻击源打分规则库对这些攻击源IP进行打分，打分规则库的要素包括设备类型，此设备针对单次攻击行为的危险度认定(此设备对攻击行为的识别结果)，危险行为追溯的时间。完全匹配到这几个维度的每次日志会对危险度加几分。周期性可疑攻击源检索及危险度打分模块会周期性的检索解析后的日志，汇总本周期这段时间发现的怀疑有攻击行为的源IP，随后对这些源IP每一个都按照打分规则库进行打分。最终判断这些IP是否超过一定大于危险判定值，如果大于危险判定值，那么就判定此IP为危险IP，否则不是危险IP。

举例说明如下：

打分规则库内容示例：

规则1：设备类型：WEBIDS；危险度认定：高；追溯时间：1小时，加分值：10分。

规则2：设备类型：IDS；攻击行为：SQL注入；追溯时间：24小时，加分值：20分。

规则3：...

……

规则n：...

危险判定值：100

对于周期性可疑攻击源检索及危险度打分模块单次发现的怀疑有攻击行为的每一个源IP，会首先按照规则1，找近1小时的WEBIDS发出的，认定为高的，源IP为此IP的日志数量，将日志数量乘以10分。然后按照规则2，找近24小时的IDS设备发出的，攻击行为是SQL注入的日志数量，将日志数量乘以20分。然后按照相同的方式把剩余规则查找一遍。最后将最终各规则得分相加，得到此源IP的总分。如果源IP的总分超过100分，那么就判定为危险IP，否则不是危险IP。

需要说明的是，针对一类网络安全设备而言，规则1至规则n中可能包括一个或多个规则的设备类型都是该类网络安全设备所属的设备类型，相应的，该类网络安全设备的各个规则的得分相加可以得到该类网络安全设备对该源IP的识别结果。进一步的，各个类网络安全设备对该源IP的识别结果的总和可以认为是该源IP的目标识别结果(即，该源IP的总分)。

本申请实施例提供的网络攻击源识别方法，可以从众多的安全设备中，提取攻击信息。针对发现的可疑IP，基于危险度评估规则以及所有安全设备针对此可疑IP的识别信息进行打分并累加，超过一定分值的，则认为此可疑IP的危险度较高，从而提高攻击源的有效性，识别出真正的网络攻击源。

本申请实施例提供的网络攻击源识别方法可以达到如下技术效果：

1：创新性的利用打分规则将各类安全设备的安全信息合理的整合到一起。

2：依据各安全设备的安全信息可靠性，将不同设备类型，不同设备对此攻击行为的危险度认定，不同设备对攻击的行为判定结果赋予不同的分值，实现有效的利用危险源识别准确率较高的安全设备的安全信息，同时兼顾危险源识别准确率较低设备的安全信息。

3：依据各安全设备的安全信息可靠性，将不同设备类型，不同设备对此攻击行为的危险度认定，不同设备对攻击的行为判定结果赋予的追溯时间，实现基于历史的行为进行追溯打分的功能。

图6为本申请实施例提供的一种网络攻击源识别装置的结构示意图。

如图6所示，该装置包括：

日志接收单元601，用于接收部署在数据中心的网络安全设备集群中各个网络安全设备发送的网络攻击识别日志，网络安全设备集群由多类网络安全设备构成；

网络攻击识别信息提取单元602，用于分别提取每个网络攻击识别日志中的网络攻击识别信息，网络攻击识别信息由攻击源IP、目标IP、危险度、攻击行为、设备类型，以及设备所在网络位置中的任意一项或多项构成；

网络攻击识别信息确定单元603，用于确定指示目标攻击源IP的至少一条网络攻击识别信息；

目标识别结果生成单元604，用于利用至少一条网络攻击识别信息对目标攻击源IP进行识别得到目标攻击源IP的目标识别结果；目标识别结果表征目标攻击源IP的危险程度。

本申请实施例中，优选的，目标识别结果生成单元包括：

识别结果生成单元，用于针对每类网络安全设备，确定预先设置的该类网络安全设备的识别规则，从至少一条网络攻击识别信息中获取满足该识别规则的至少一条目标网络攻击识别信息，根据至少一条目标网络攻击识别信息确定该类网络安全设备对目标攻击源IP的识别结果；

目标识别结果生成子单元，用于基于各类网络安全设备分别对目标攻击源IP的识别结果，生成目标攻击源IP的目标识别结果。

本申请实施例中，优选的，用于从至少一条网络攻击识别信息中获取满足该识别规则的至少一条目标网络攻击识别信息的识别结果生成单元，包括：

规则信息获取单元，用于获取该识别规则指示的攻击行为追溯时间和识别条件；

第一网络攻击识别信息确定单元，用于从至少一条网络攻击识别信息中确定来源于该类网络安全设备的各条第一网络攻击识别信息；

发出时间确定单元，用于针对每条第一网络攻击识别信息，获取该条第一网络攻击识别信息所属的网络安全设备对该条第一网络攻击识别信息的发出时间；

第二网络攻击识别信息确定单元，用于从所确定的各条第一网络攻击识别信息中，确定发出时间至今的时间间隔不超过攻击行为追溯时间的至少一条第二网络攻击识别信息；

目标网络攻击识别信息获取单元，用于从至少一条第二网络攻击识别信息中获取满足识别条件的至少一条目标网络攻击识别信息。

本申请实施例中，优选的，用于根据至少一条目标网络攻击识别信息确定该类网络安全设备对目标攻击源IP的识别结果的识别结果生成单元，还包括：

信息条数确定单元，用于确定至少一条目标网络攻击识别信息中目标网络攻击识别信息的信息条数；

识别结果生成子单元，用于基于信息条数和表征该类网络安全设备的识别规则的重要程度的目标数据，生成与该识别规则对应的该类网络安全设备对目标攻击源IP的识别结果。

本申请实施例中，优选的，预先设置的该类网络安全设备的识别规则的数量为多个，该网络攻击源识别装置还包括：

根据分别与该类网络安全设备的每个识别规则对应的该类网络安全设备对目标攻击源IP的识别结果，生成该类网络安全设备对目标攻击源IP的识别结果。

进一步的，本申请实施例提供的一种网络攻击源识别装置还包括：

判断单元，用于判断目标攻击源IP的目标识别结果是否超过预设阈值；

第一确定单元，用于如果目标攻击源IP的目标识别结果超过预设阈值，确定目标攻击源IP为危险IP；

第二确定单元，用于如果目标攻击源IP的目标识别结果未超过预设阈值，确定目标攻击源IP不为危险IP。

报警单元，用于响应危险IP的确定，发出指示危险IP的报警信息。

如图7所示，为本申请实施例提供的计算机设备的一种实现方式的结构图，该计算机设备包括：

存储器701，用于存储程序；

处理器702，用于执行程序，程序具体用于：

接收部署在数据中心的网络安全设备集群中各个网络安全设备发送的网络攻击识别日志，网络安全设备集群由多类网络安全设备构成；

分别提取每个网络攻击识别日志中的网络攻击识别信息，网络攻击识别信息由攻击源IP、目标IP、危险度、攻击行为、设备类型，以及设备所在网络位置中的任意一项或多项构成；

确定指示目标攻击源IP的至少一条网络攻击识别信息；

利用至少一条网络攻击识别信息对目标攻击源IP进行识别得到目标攻击源IP的目标识别结果；目标识别结果表征目标攻击源IP的危险程度。

处理器702可能是一个中央处理器CPU，或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit)。

控制设备还可以包括通信接口703以及通信总线704，其中，存储器701、处理器702以及通信接口703通过通信总线704完成相互间的通信。

本申请实施例还提供了一种可读存储介质，其上存储有计算机程序，计算机程序被处理器加载并执行，实现上述的网络攻击源识别方法的各步骤，具体实现过程可以参照上述实施例相应部分的描述，本实施例不做赘述。

以上对本发明所提供的一种网络攻击源识别方法、装置、计算机设备及存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

需要说明的是，本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备所固有的要素，或者是还包括为这些过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。

Claims

1.一种网络攻击源识别方法，其特征在于，包括：

确定指示目标攻击源IP的至少一条网络攻击识别信息；

利用所述至少一条网络攻击识别信息对所述目标攻击源IP进行识别得到所述目标攻击源IP的目标识别结果；所述目标识别结果表征所述目标攻击源IP的危险程度；

所述利用所述至少一条网络攻击识别信息对所述目标攻击源IP进行识别得到所述目标攻击源IP的目标识别结果，包括：

2.根据权利要求1所述的方法，其特征在于，所述从所述至少一条网络攻击识别信息中获取满足该识别规则的至少一条目标网络攻击识别信息，包括：

获取该识别规则指示的攻击行为追溯时间和识别条件；

3.根据权利要求2所述的方法，其特征在于，所述根据所述至少一条目标网络攻击识别信息确定该类网络安全设备对所述目标攻击源IP的识别结果，包括：

4.根据权利要求3所述的方法，其特征在于，预先设置的该类网络安全设备的识别规则的数量为多个，该方法还包括：

5.根据权利要求1所述的方法，其特征在于，还包括：

判断所述目标攻击源IP的目标识别结果是否超过预设阈值；

6.根据权利要求5所述的方法，其特征在于，还包括：

响应所述危险IP的确定，发出指示所述危险IP的报警信息。

7.一种网络攻击源识别装置，其特征在于，包括：

目标识别结果生成单元，用于利用所述至少一条网络攻击识别信息对所述目标攻击源IP进行识别得到所述目标攻击源IP的目标识别结果；所述目标识别结果表征所述目标攻击源IP的危险程度；

所述目标识别结果利用所述至少一条网络攻击识别信息对所述目标攻击源IP进行识别得到所述目标攻击源IP的目标识别结果，包括：

8.一种计算机设备，其特征在于，包括：处理器以及存储器，所述处理器以及存储器通过通信总线相连；其中，所述处理器，用于调用并执行所述存储器中存储的程序；所述存储器，用于存储程序，所述程序用于实现如权利要求1-6任意一项所述的网络攻击源识别方法。

9.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序被处理器加载并执行，实现如权利要求1-6任意一项所述的网络攻击源识别方法的各步骤。